Независимый исследователь Лэнс Вик (Lance R. Vick) нашел уязвимость в роботизированных прикроватных ассистентах Tapia, установленных в отелях японской сети Hen na. Ошибка ПО позволяет стороннему пользователю следить за постояльцами по видео- и аудиоканалам. Эксперт опубликовал баг в Twitter через три месяца после изначального предупреждения об угрозе.

Уязвимые устройства работают в 10 отелях, где постояльцев обслуживают автоматизированные системы. Так, при заселении гости могут пообщаться с механическим динозавром, а дверь в номер распознает лица постояльцев. Около кроватей установлены ассистенты Tapia, которые сообщают прогноз погоды, помогают с онлайн-покупками и другими задачами. Для работы с устройствами используется NFC-протокол — пользователь включает их, поднося смартфон.

Именно в этой функции и обнаружилась проблема. Как выяснил эксперт, разработчики Tapia не защитили продукт от выполнения неподписанного кода. Это позволяет стороннему пользователю установить бэкдор, а затем перехватить потоки с камеры и микрофона устройства. Таким образом взломщик сможет скрытно следить за постояльцами.

По словам исследователя, уязвимость носит весьма примитивный характер и скорее говорит о непрофессионализме создателей Tapia. Стоит отметить, что воспользоваться ей можно только при наличии физического доступа к устройству. С другой стороны, скомпрометированный ассистент может передавать потоки данных на сторонний веб-ресурс, позволяя взломщику шпионить за гостями отеля откуда угодно.

Еще в июле эксперт сообщил о проблеме руководству отеля, однако те не отреагировали на предупреждение. После того как специалист опубликовал свою находку, представители организации все же извинились за произошедшее и заявили, что изменили работу уязвимой функции. Разработчики Tapia также уточнили, что в реальных условиях риск применения бага для слежки был небольшим.

Инцидент с Tapia напомнил о проблемах безопасности IoT

Произошедшее заставило экспертов по безопасности вновь поднять вопрос о незащищенности IoT-устройств. Они подчеркнули, что в сочетании с другими технологиями (например, распознаванием лица или голоса, машинным обучением и нейросетями) даже примитивные камеры и сенсоры представляют серьезную угрозу для пользователей.

Специалисты заключают, что Интернету вещей необходимы установленные стандарты безопасности. Это поможет производителям избежать ситуаций, когда проблемы в их продуктах появляются не из-за серьезных уязвимостей, а по невнимательности разработчиков.

Ранее эксперты ИБ раскритиковали умные четки, созданные по заказу Ватикана. Как выяснили специалисты, в отсутствие базовых механизмов защиты злоумышленники могли скомпрометировать аккаунты пользователей и получить доступ к их частной информации.

По данным аналитиков «Лаборатории Касперского», преступники активно применяют уязвимости Интернета вещей для распространения вредоносного ПО. Как показало исследование компании, каждые 15 минут IoT-зловреды проводят по 20 тыс. атак. Взломанные устройства включают в масштабные ботнеты, которые используются для DDoS-атак и добычи криптовалют.

Категории: Уязвимости